En numerosas ocasiones no sirve de nada contar con las últimas medidas de Ciberseguridad si descuidamos el factor humano. Los ataques de ingeniería social son muy comunes por un sencillo motivo: porque funcionan.
Los ataques de ingeniería social consisten en usar técnicas de manipulación psicológica para conseguir que las personas aporten a los ciberdelincuentes la información que estos quieren. O incluso que sea ellas mismas las que instalen software malicioso en sus equipos (sin saber lo que están instalando, por supuesto).
En función de la estrategia que usen los ciberdelincuentes, los ataques de ingeniería social se pueden dividir en dos tipos:
- Hunting: se emplea una única comunicación con la víctima. Son campañas que se envían de manera masiva y no tienen objetivos concretos. Suelen centrarse en ataques de phishing o campañas de distribución de malware.
- Farming: en este caso se emplean varias comunicaciones con la víctima. Normalmente tienen objetivos concretos. Es común en campañas de sextorsión, fraude del CEO o de RR.HH.
Fases de los ataques de ingeniería social
Habitualmente, este tipo de ataques cuentan con dos fases que suelen ser comunes.
- Recogida de información. En esta fase el ciberdelincuente recaba toda la información que puede sobre las que serán las víctimas. Sus números de teléfono, correo electrónico, cargos de empresa, etc. Esta fase es realmente fácil y no requiere de unos conocimientos avanzados para ningún ciberdelincuente.
- Manipulación. Aquí empieza el ataque en sí y es donde reside la clave de los ataques de ingeniería social. Consiste en manipular psicológicamente a la víctima para conseguir sus objetivos. Es muy frecuente que para ello suplanten la identidad de otra persona o empresa.
Técnicas usadas para los ataques de ingeniería social
Son muchas las técnicas que los ciberdelincuentes pueden emplear para engañar a sus víctimas. A continuación te contamos algunas de ellas.
- Archivos adjuntos
Es la técnica que más acostumbrados estamos a ver: emails que nos llegan con archivos adjuntos que, en realidad, son archivos maliciosos.
A veces son directamente archivos ejecutables .exe, y en otras ocasiones, para camuflarlos, pueden ponerles nombres terminados en .zip, .jppg, .pdf, .doc, etc.
- Falsear direcciones de email y datos
Aquí, se falsifica la dirección de correo electrónico del remitente (email spoofing) para hacerse pasar por él. También puede ser que la dirección de email sea ligeramente similar (cybersquatting); por ejemplo, que el remitente sea info@damon4.com en lugar de info@daemon4.com.
Estas mismas técnicas también pueden usarse para falsear enlaces dentro del cuerpo del correo electrónico.
Gracias a ello, el mensaje que las víctimas reciben es aparentemente de un emisor de confianza.
Email como principal vía de entrada
El correo electrónico suele ser la vía preferida de los ciberdelincuentes para iniciar sus ataques de ingeniería social. Aunque en algunas ocasiones no es la única vía, ya que pueden apoyarse en otras vías como llamadas telefónicas o mensajes SMS.
En un artículo previo, mencionábamos una serie de claves para prevenir los ciberataques por email. Según algunos datos, hasta el 98% de los ciberataques por email podrían evitarse teniendo en cuenta medidas básicas de seguridad.
Si tienes dudas sobre la seguridad de los datos de tu empresa y quieres implantar herramientas para protegerlos, ponte en contacto con nosotros.